遊戲專題

『黑客門』的災難影響
文：傑特

　　話說上週剛交完稿之後就收到Sony的記者會新聞，針對日前 PSN 與 Qriocity 等網路服務遭入侵後的處理情況，副社長平井一夫表示已交由FBI調查，以及服務回復方案等事項。

慘烈的大災難
　　其實在五月一日的記者發佈會中，平井一夫並沒有作出比較明確的表示，只是說事件交由FBI處理，以及五月尾會強化保安重開服務等等。問題是網路上已傳出有用戶的帳號信用咭被盗，並在PSN上花了一萬二千五百美元，如果這事件是真的話那跟據「當你見到家中有一隻蟑螂的時候，其實已經有廿五隻蟑螂存在。」定律，受到影響的人可能已在暴增。當然，不是每一個受害者都會那麼慘損失上萬美元的（事實上筆者比較好奇要怎樣才能在PSN買到一萬多美元，有那麼多東西可以買嗎？），但更多可能是數美元又或者二三十美元的小數目，這類小數目其實最危險，因為很多信用咭使用者一個月可能已經是數百上千美元出入，又或者經常在PSN上買遊戲又或者附加元素，這類人是不大可能花時間一張張單去確認的，某天多了二三十美元也不會太在意，甚至可能還以為自己那些喝啤酒喝多了不小心買了某一隻垃圾遊戲呢！如果是以這種模式來使用買回來的帳號的話，那真的可能會變成有大量用家在不知不覺之間受到了損失，但這其實還不算真的很嚴重。至於更壞的情況如上週筆者指出不法份子用來做假咭，那就真的是萬事休矣了。
　　
關鍵七日間
　　正如不少人抨擊東京電力在福島核災難發生後不立即將情況提升到六級甚至七級那樣，很多評論員以至一般用家都對Sony在事發後一週才公佈問題，而且要十天後才開記者會十分不滿，更不滿是記者會發表的還不如各大新聞社的採訪資料，這種態度當然讓人很火大。
　　不過和福島核事故相比這次卻有著明顯的不同。首先，福島核事故的災難等級是慢慢提升上去的，也就是最初真的還不到六級，但問題卻在各種外在以及內在因素下不斷惡化，最後才變成這次可以和切爾諾貝爾相比的七級大災難。其次是東京電力在事故發生的最初有不得不將事件壓下的理由：當時整個東日本都處於壞滅又或者半壞滅的情況，到處都是斷水斷電斷交通，即使好一點也都陷入缺電缺必需品的情況，再加上道路通訊癱瘓，那時如果真的宣佈福島核災難是六級甚至是七級的話，可以肯定會帶來更大的恐慌潮，而顯然的是日本政府是絕對無法應付的。在這種情況下盡可能將事情低調處理，希望能夠在惡化之前解決事件是人之常情，你可以不滿東電在處理事件上的無能，但對於首兩週一直低調處理卻無不妥之處﹣如果還認為東電不該不宣佈真相，那先想出如何在東日本壞滅的情況下作出大規模的人民避難再說。避難？他們已經遇難了！連救他們也有困難，還可以「避」到哪裡？
　　但Sony這次的事件卻完全不同，首先是當黑客入侵之後到四月廿六日公佈為止，足足有七天時間，這七天時間正好可以讓受影響的用家作出緊急處理，如向信用咭中心報備甚至停咭，這樣就可以阻止信用咭資料被盗用而帶來損失了。而這種處理是越快越好的，等於你遺失了信用咭當然第一時間向信用咭中心報備要他們停止一切的交易吧？兩小時的時間已經夠不法之徒用你的信用咭買幾部iPad2拿去炒了，但現在既不是兩小時，也不是兩天，而是整整一星期！難道Sony以為這七天不宣佈黑客就會將盗來的資料交回來嗎？也就是即使拖延時間也不會讓事情帶來任何好處，或者說打從一開始事情就已經去到最惡劣的局面，壓下來也沒任何意義。那還拖個一星期就真的一點意義也沒有，反而讓用戶曝露在更大的風險之中了。
　　網路流傳黑客曾開價要將被盗取的資料賣回給Sony而被拒的說法，如果是真的就有兩種看法，以犯罪的角度來看是絕對不能和不法份子妥協的，尤其是不能保證付了錢之後對方真的會乖乖地交回資料自己不保留一份，最慘是即使對方不守信你也拿他沒辦法。但如果以家被綁架的角度來看，sony付錢買回資料卻絕對是值得冒險，因為不管黑客怎樣獅子開大口也不可能開出上億美元的數目，數千萬甚至數百萬美元的代價賭黑客『盗亦有道』真的交回資料不是很化算麼？算數千萬好了，以這筆錢來賭黑客願意交還「數碼肉參」算是很便宜了。
　　假設如果那七天的謎之空白時間是用來和黑客討價還價，但最後還是失敗的話，那Sony的高層真的得要為這負上最大的責任，不單是因為資料被盗，而且還「講數」失敗，最後變成現在可能得賠二百多億美元的下場（據日本律師紀藤正樹以之前的同類案例、每人賠三萬日元來算），而且二百多億還只是以日本的算法！換了美國這種動不動就告上法庭的國家，能夠想像美國法庭會開出一張如何"精彩"的罰單嗎？
　　由事情爆發到初次發表為止的七天，Sony既無法以枱下手段解決（筆者很有理由相信那七天Sony是想辦法和黑客談判買回資料，否則何需等那麼久？），枱面上又沒有一早處理，最後當然就是一場大災難了。

誰還在乎服務？
　　去到這一刻，Sony的處境其實和東電已經是難兄難弟，在記者發佈會中平井表示PSN和Qriocity會在五月中恢復正常營運，並提出相關補償方案。有關前者，現在PSN的營運與否已經不再重要了，因為經此一役沒有人會敢再將信用咭輸入PSN又或者Qriocity，因為信心這種東西建立起來可能要花好幾年，但卻可以在幾小時內完全破摧鋒陷毁，更別提這次不是數小時而是整整十天。現在還會說「PSN早點重開讓我玩遊戲吧！」的朋友應該算是幸福的人，因為他們都是以點數咭來買遊戲，所以PSN出事大不了只是個人資料出亂子。至於筆者這類從來不會在PSN上買遊戲的更不會在乎，反正它復不復活也不關我的事。
　　現在問題是Sony可能要面對天文數字的賠償。上一回說派點數已經算是很客氣了，因為點數這種東西其實無需本錢，反正下載不花成本，最多也只是和遊戲公司要求「收順少少」。但現在的情況是Sony很大可能需要真金白銀去賠一個天文數字級的賠款，數百億美元即使是Microsoft又或者Apple也是很驚人的數字，Sony賠得起嗎？
　　以一個投資者的立場來說，又或者關心企業運作的人來說，這次sony出事留意的焦點一定是對公司的長遠經營。雖然以這麼一間跨國企業來說這筆錢真的要找的話還是找得到的，也不致於賠不起而得關門大吉。但少了這一大筆預算對Sony，又或者直接一點就是對SCE的影響有多大？今年他們得要發表NGP，一部新主機推出開發宣傳都是花錢如流水，現在少了這筆鉅款會對NGP甚至是PS4（暫名）的開發有多大影響誰也說不準。至於PSN和Qriocity的打擊更是無法計算，好一點用也不會再用信用咭，差點就乾脆去Xbox Live好了，反正大部份連線遊戲在北美都是兩機共通，沒有PSN就去Xbox Live好了，一如上一篇文章所說：遊戲不玩死不了人，換主機也不花幾個錢。差的話更會大規模流失用家，也就是說這兩個服務是玩完了﹣很不幸的，這個機會並不低。或者說這是再一次引證「墨菲定律」：當事情有一個最壞的處理方法，就一定會有人選擇這個方法，繼而引發大災難。

一個血淋淋的教訓
　　其實沒多久之前iTunes帳號已經被人攻破過一次，大約五萬個戶口可以在淘寶網買到，雖然Apple否認出事，但即使是事實數目也遠低於現在Sony的數千萬。所以雖然情況相近，但Apple的情況就輕很多了，即使他們要私下處理也很簡單，五萬人每人賠一千美元也不過五千萬美元，對這類跨國大公司來說可說是連屁也不如。
　　其實這類黑客入侵犯罪本來就是無法避免的，世上本來就沒有攻不破的保安機制，再堅固的系統也會被突破，問題是如何去規避風險如分散資料庫、不同的保安方式等等，還有之後的危機管理。要麼像Apple打死不認？還是一早就低頭高速處理？這都是包括任天堂、Microsoft以至各大網路商得要面對的問題，就是當發生大災難時，如何能迅速地處理事件，解決問題，將傷害減到最低。
　　Sony這個血淋淋的教訓，相信各大公司現在也不禁抹一把冷汗吧？

補充：其實在下文此刻又有新聞指SOE（Sony Online Entertainment）在4月16日和17日之間被黑客入侵，高達2460萬筆用戶資料被外洩，如果加上PSN和 Qriocity的話就有一億個帳號被盜了。
不過事到如今也沒有什麼好說了，反正已經吃了致命一擊，再捱多一發榴彈炮也沒有什麼大不了﹣還有什麼好說？除了說"節哀順變"之外？